В моей среде много пользователей, которые развертывают свои открытые ключи на серверах Linux для безопасного входа без пароля через SSH.
У всех этих пользователей есть учетные записи в нашей Active Directory, однако, когда пользователь покидает компанию и мы отключаем его соответствующую учетную запись AD, ее ключи все еще там, и она все еще может входить на все серверы, на которых развернуты ее открытые ключи.
Есть ли способ запретить пользователю входить на сервер с помощью его открытого ключа, когда его учетная запись AD отключена, заблокирована, срок действия истек или удален?
Примечание: Мы используем PBIS-Open для аутентификации AD
Вы можете установить пользовательскую оболочку на /sbin/nologin
, это также может быть другой путь в зависимости от дистрибутива и версии.
usermod --shell /sbin/nologin <user-name>
Кроме того, вы также можете установить дату истечения срока действия.
usermod --shell /sbin/nologin --expiredate 1 <user-name>
В зависимости от вашей конфигурации эта информация также может быть настроена в LDAP, NIS или непосредственно в AD. В этих случаях вам, возможно, придется выполнить несколько разных команд, чтобы изменить оболочку входа и дату истечения срока действия.